Как разобраться с авторизацией в Node.js?

Question

[evg_96]

Прохожу курс от learn.js.ru по node.js (оффлайн).
Дошел до урока про авторизацию, конкретно объясняется работа с passport.js.
До этого урока мне казалось что все топики были сложными, но теперь мне кажется что все что было до этого, было детским лепетом.
В общем я вообще не представляют как разобраться в этой теме.
Автор курса сразу же начал показывать код разбитый на ~10 модулей...какие то сессии, работа с mongoose, сериализация, десериализация, криптография, стратегии, работа с passport и т.д.
Я за 40 минут вещания вообще ничего не понял, абсолютно ничего. Первый раз такое, что вообще запутался и ничего не понял.
Пробовал поискать другие туторы на русском, видео, статьи, но ничего путного не нашел, инфа практически отсутствует.
Что делать, не знаю. Реально уже руки опускаются, хз как дальше продвигаться. Ступор конкретный.

Как во всем этом разобраться?

Comments

[Alexander]

Искать туторы на английском, их завались. Не тянете английский - учите. Иначе тут делать нечего.

[evg_96]

Alexander, Я учу, но начал недавно, поэтому еще не достаточно уровня чтобы хотя бы понимать текст на английском, не говоря уже о видео.

[ой всё]

на русском нет тем про криптографию, сессии и сериализации?
вы что-то явно лукавите
у вас просто нет нужного образования, поэтому вам так все сложно

[evg_96]

ой всё, По отдельности все это конечно есть, но вот конкретные реализация на ноде, да еще и на русском это постараться нужно чтобы найти. все это в комплексе Я раньше backend не изучал, работал только на фронте, поэтому очень сложно сейчас войти в тему.

[ой всё]

evg_96, какая разница на чем, если все равно не понимаете, о чем идет речь?
учите матчасть, чтобы не было так больно

[evg_96]

ой всё, Что и как конкретно изучать? У меня нет понятия как менее безболезненно влиться во все это...

[Владимир Муковоз]

evg_96, безболезнено после фронта это врядли)) Попробуй NodeJS поизучать. После фронта будет по легче)

[ой всё]

evg_96, получите приличное образование по специальности, а там рукой подать

[evg_96]

Владимир Муковоз, А я что делаю? Вопрос то хоть читали? Я и пытаюсь изучить ноду

[Спрашивающий]

поgробуйте прочитать вот это https://metanit.com/web/nodejs/
там про авторизацию ни слова, но вам судя по вашим комментам, нужна база, там она вполне разжевана

Answer 1

[Abcdefgk]

Ну, запугали человека - криптография-шриптография.
Модуль passport - для того и готовый модуль, что он сам всю эту криптографию-шмиптографию сделает. Просто нужно освоить несколько пунктов.
1. Установить в проект и настроить модули express-session и coockie-parser
Без них passport не будет работать - а в чём же будет тогда смысл его работы, если он в сессию и записывает юзера после регистрации.авторизации? ("сессия" - это специальный подобъект в объекте request - req.session - куда passport сам вписывает под-объект user после авторизации)
2. Разобраться, что passport - это общий модуль, который обеспечивает работу дополнительных модулей, в которых содержатся, как раз, всякие разные стратегии авторизации - локальная стратегия, через Фейсбук (passport-facebook), через Гугол (passport-google-oauth) и т.д.
3. Для авторизаций через соцсети нужно в каждом случае поразбираться, как в них создавать "приложения" - оттуда для стратегий нужно будет брать ID юзера и Key, которые эти доп-модули будут запрашивать.
4. Создаётся один большой файл-модуль для авторизации - типа auth.js - куда реквайрится сам passport плюс реквайрятся нужные (по желанию) стратегии. Типа вот так выглядит верхушка файла:
var passport = require('passport')
, FacebookStrategy = require('passport-facebook').Strategy
, GoogleStrategy = require('passport-google-oauth').OAuth2Strategy;
и для каждой из стратегий пишется код, который уже весь есть в документации модуля passport - его нужно оттуда взять и в нём, конечно, поразбираться. Не в криптографии-шриптогравии, а в этом конкретном коде.
(Ну, и книжку внимательно изучить - я говорил в другом месте, какую)

Comments

[evg_96]

Abcdefgk Работа с авторизацией, конкретно с passport, различается в условиях работы с различными фреймворками? Или без разницы? Просто вы говорите про express.

настроить модули express-session и coockie-parser

Непонятно какие тогда модули дополнительные использовать в других фреймворках...
Я начинал читать ту книгу которую вы советовали, прочитал до середины. Дальше как то уже не пошло что то. Очень много ошибок и старого кода.
Сейчас же начал использовать Koa.

[Abcdefgk]

evg_96, Дык pasport - это модуль авторизации для Express. (я не знаю, может его и для этого вашего Koa приспособил автор - если там надо чего вообще приспосабливать)
Конкретно в этой книге есть ошибка (маленькое устаревание) в примере авторизации через Google, а пример через Facebook - там просто рабочий по факту.

[Abcdefgk]

evg_96, Я не знаю, что там в это Koa, система мидловеров осталась? (аффтар-то тот же). Если осталась - всё точно так же и будет работать.

[evg_96]

Abcdefgk, да middleware есть, по сути тоже самое что и express, только плюс в том что все там на async/await. Для Koa есть модуль koa-passport

[Abcdefgk]

evg_96, Значит, в принципе - то же самое. И потом, если ТиДжей Воловайчук так уж ополчился на колбек-функции (что аж решил "покинуть планету Node.js"), то это не значит, что код, который работал в Express - теперь не будет работать в Koa. Тут зависимость не от фреимфёрка, а от версии Ноды.

Answer 2

[Decadal]

Я думаю, автор уроков предполагал что у обучающихся уже есть некоторые познания в бэке, потому что объяснение каждой отдельной темы которую вы озвучили, займёт много времени.
Остановитесь на этом уроке, ознакомьтесь отдельно с механизмом сессий, отдельно с шифрованием пароля, и работой с бд, а потом заново его пройдите

Comments

[evg_96]

Decadal Данный курс базовый, ранее работы с backend не подразумевалось. Но меня удивляло то, что кто проходил данный курс онлайн, либо чертовы гении, либо у них действительно большой опыт на другой платформе был. Что не спросит у них автор курса, то они уже знакомы в той или иной степени...При разборе той же mongodb, к удивлению все были уже знакомы с реляционной моделью, следовательно им легче было понимать суть БД, если так можно выразиться. Да и дз они выполняли достаточно легко.
В общем то это 6 из 10 уроков, до этого я также останавливался и пытался что то более подробно разобрать, та же работа с mongoose, видео из курса мне явно было мало чтобы понять хоть какие то основы, потом нашел статьи, почитал как создавать схемы, модели. В общем самые базовые знания получил. Так же было с потоками, с koa, маршрутизацией, middleware.

Сессии до это в каком то уроке разбирались, но вскользь, пару минут уделили им все. Всем было все понятно, один я ничего не понял. С шифрованием вроде как что да понял немного, ну основные понятия, что нельзя хранить явно пароль в бд, храним только hash и соль. Поток отправляем данные из формы, сравниваем hash, совпадает, впускаем, не совпадает, не впускаем. Конкретных реализаций я не понял, слишком много кода было и запутано как то все.
БД из всего этого мне наиболее понятны. Добавлять, удалять, создавать данные я могу вроде как.

Вот эта вот каша из всех файлов примера простой авторизации. Я вообще не понимаю как можно в этих +-400 строках что то понять, если нет опыта никакого.

https://pastebin.com/Hn1izjQe

[Decadal]

evg_96 в таком случае, вам попался неудачный для вас вариант курсов, что ещё раз доказывает, что знания лучше получать не по каким-то методикам, а по мере возникновения вопросов.

Сессии до это в каком то уроке разбирались, но вскользь, пару минут уделили им все. Всем было все понятно, один я ничего не понял.

кратко про сессии - сервером устанавливается специальный куки (слышали же о печеньках, cookies?), который присылается клиентом в каждом следующем запросе. Сервер берёт присланный куки и смотрит всю информацию, сохранённую ранее для этого куки. Такой куки называется идентификатором сессии, а вся информация, которую сервер помнит о юзере - собственно, сессией. Она нужна чтобы различать авторизованных юзеров и не заставлять их каждый раз вводить логин\пароль.

Конкретных реализаций я не понял, слишком много кода было и запутано как то все.

значит, нужно больше времени уделить коду, тут по-другому никак)

Код выглядт как обычный рутинный код какого-то проекта. Он не похож на код, по которому чему-то учат)

[evg_96]

Decadal, К сожалению больше курсов я не нашел. Смотрел и другие конечно, но там только основы. Пробовал книги читать, но там либо базовые вещи, либо код уже не рабочий, сильно устарел.
Сейчас конкретно необходимо прокачать знания в БД, конкретно в mongo/mongoose хотя бы + авторизация (passoport), но вот без знаний английского я не понимаю как мне действовать, потому что по сути обучающих материалов на русском нормальных нет.

[Илья Герасимов]

evg_96, сессии, работа с mongoose, сериализация, десериализация, криптография, стратегии, работа с passport это все базовые знания (в рамках авторизации и такого прочего), кроме стратегий и паспорта, это пакет который нам что-то дает, чтобы понять как он работает мы просто смотрим его доки и там все очень просто

[evg_96]

Илья Герасимов, Во первых там все на инглише и он мне пока еще не подвластен. Во вторых посмотрите пример кода, я выше кидал, и что то мне не кажется что это все очень просто.
К тому же эти базовые знания я бы с удовольствием изучил,но я хз по каким материалам. На русском как всегда ничего путного нет. Да можно почитать википедию по некоторым топикам, но думаю это не особо продвинет меня с практической точки зрения.

[Илья Герасимов]

evg_96, я открывал то полотно, там пример как не нужно писать код, потому что в таком виде, его тупо лень рассматривать, если есть какие-то более конкретные вопросы по участкам кода спрашивайте, а так я не знаю чем помочь

[xfg]

evg_96, ничего на русском толком не выучишь. Потрать время на английский. Посмотри как образуются времена группы simple в активном/пассивном залогах и ищи такие предложения в статьях, которые тебе интересно читать. Переводи все значимые слова и запоминай. Остальные предложение пока игнорируй. Можно начать читать про веб браузеры, интернет, html, js на simple.wikipedia.org там почти весь текст написан используя времена группы simple. Потом посмотри как образуются времена continuous и perfect также в активных/пассивных залогах и ты уже будешь готов медленно, с постоянным подглядыванием в словарь, но тем не менее читать официальные сайты mongo/mongoose/passportjs. КПД будет в разы выше, чем чтение непонятных источников на русском, где может быть так что автор сам не понял и тебе рассказал.